La nouvelle fonction Recall de Microsoft alarme les experts en cybersécurité

Publié le 04 juin 2024 à 12h08

La fonction Recall sera activée sur les PC Copilot+ © Microsoft

Un expert en cybersécurité a découvert que la fonctionnalité Recall sur Windows 11 stocke les données en texte clair… offrant un boulevard à de potentiels malwares pour les extraire.

Présenté lors du Surface Event le 20 mai dernier, Recall enregistre et organise toutes les activités de l'utilisateur, lui permettant de retrouver facilement des documents, des sites web visités, et même des conversations de réunion grâce à des commandes en langage naturel. Sur le papier, la fonctionnalité semble révolutionnaire, mais elle a également attiré l'attention d'experts en cybersécurité. En effet, Recall prend des captures d'écran de tout ce qui est fait sur l'ordinateur, à quelques exceptions près que l'utilisateur pourra définir, comme la visite de certains sites web (à condition d'utiliser Edge).

Mots de passe, données bancaires… Des informations sensibles seront mémorisées. Microsoft garantit que ces données demeureront stockées et cryptées sur l'appareil, et seront donc uniquement accessibles pour l'administrateur. Cependant, Kevin Beaumont, chercheur en cybersécurité, clame le contraire.

A découvrir

Quels sont les 5 meilleurs chatbots à intelligence artificielle ? Comparatif 2024

18 octobre 2024 à 17h25

Comparatifs services

Une base de données textuelle

Beaumont, qui a brièvement travaillé chez Microsoft en 2020, a testé Recall au cours de la dernière semaine écoulée afin de déterminer si la fonction reposant sur l'intelligence artificielle était entièrement sécurisée. Sa conclusion fait froid dans le dos. « Il est désormais possible de voler tout ce que vous avez tapé ou regardé sur votre propre PC Windows en deux lignes de code », titre-t-il un billet de blog.

...

Le fait que les données capturées par Recall soient stockées en texte clair constitue une grossière erreur, estime l'expert. Il s'est empressé de partager la base de données sur X.com, reprochant à Microsoft ses promesses sur la sécurité de l'outil. Beaumont l'affirme, la base de données est accessible même pour ceux qui ne sont pas administrateurs, la rendant, théoriquement, vulnérable.

Recall peut rechercher parmi toutes les actions de l'utilisateur réalisées sur le PC © Microsoft

L'exfiltration des données Recall peut être automatisée et mise en ligne, selon le chercheur

« J'ai automatisé l'exfiltration et créé un site web où l'on peut télécharger une base de données et y faire des recherches instantanées. Je garde délibérément les détails techniques pour moi jusqu'à ce que Microsoft livre la fonctionnalité, car je veux leur laisser le temps de faire quelque chose », explique le chercheur.

« Recall permet aux acteurs de la menace d'automatiser la récupération de tout ce que vous avez consulté en quelques secondes », poursuit-il. Beaumont espère que son travail attirera l'attention de la firme de Redmond, et que des changements seront apportés à la fonctionnalité.

Recall sera uniquement disponible sur les PC Copilot+, sur lesquels elle devrait être activée par défaut. Pour l'heure, la fonction ne peut pas être désactivée pendant le processus d'installation. Il y a seulement quelques semaines, Satya Nadella, patron de Microsoft, rappelait à ses équipes la nécessité de prioriser la sécurité avant tout le reste…

Microsoft Copilot

Intégration de DALL-E 3 pour une création d'images plus créatives et réalistes
Capacité de traitement des images par GPT-4 Vision pour des réponses contextuelles précises
Interface conviviale et intégrée dans divers produits Microsoft

Télécharger

Sources : The Verge, Double Pulsar

Par Mathilde Rochefort

Avide de nouvelles technologies et particulièrement férue de la marque à la pomme, j’en fais mon métier depuis près d’une décennie. Réseaux sociaux, IA et autres applications… Je partage mon expertise quotidiennement sur le World Wide Web.

Articles de Mathilde Rochefort

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (6)

ovancantfort

Satya Nadella, patron de Microsoft, rappelait à ses équipes la nécessité de prioriser la sécurité avant tout le reste…

… enfin, après le pognon et la phobie de se faire larguer… Faut pas déconner quand même !

Un peu comme quand les sociétés de cartes bancaires nous ont sorti des cartes NFC avec des communications sans aucune sécurité… vu la taille du gâteau et le risque de se faire doubler par Google Pay.

Nmut

Je me pose une question: est-ce que pour récupérer les données de la database, il ne faut pas avoir compromis le PC d’une manière ou d’une autre, et donc avoir déjà accès en direct à toutes les informations qui pourraient s’y trouver (et même plus)?!?

@ovancantfort D’un autre coté, c’est le « cas d’utilisation » du sans contact qui veut ça. Pour un truc sans aucune restriction, il ne peut y avoir aucune sécurité, juste éventuellement une limitation des « dégats » (limite de paiment faible)!
Et une rapide analyse cout / risque a du faire ressortir qu’un système simpliste coute au global moins cher…

ovancantfort

Il ne s’agit pas de cela. Je parle du chiffrement des communications. Quand tu paies dans contact, ton nom, le numéro de ta carte et les dix dernières transactions sont transmises en clair sans aucun chiffrement.
Quand ces cartes de crédit sont sorties, le pass Navigo NFC existait déjà et utilisait des communications entièrement chiffrées.
En fait, Visa et Mastercard ont réellement eu peur de rater l’essor du sans-contact et ont juste implémenté en NFC la première couche du protocole EMV qui existait pour la communication AVEC contact entre les cartes de crédit et les terminaux de paiement. Pas besoin de chiffrement pour ce dernier car je risque d’interception est faible. Par contre, utiliser ce protocole pour le sans-contact violait d’emblée leur propres directives de sécurité qui impliquaient que toutes les communications distantes ou radio devaient être chiffrées. Oui, le NFC entre bien dans les communications radio.

Encore aujourd’hui, comme presque rien n’a été fait, le pass Navigo est bien mieux sécurisé que les cartes de crédit. Un comble!

Note également que aussi bien Google Pay que Apple Pay chiffrent entièrement leur communications NFC.

Je te conseilles de jeter un œil au document que j’ai mis en lien qui explique tout ça.

Nmut

Ca je connais un peu mieux, j’ai travaillé dessus.
Le « contexte » est différent. Et les infos qui transitent sont de toute façon limitées et peux risquées du point de vue utilisateurs. Par contre la protection pour la RATP est primordiale pour éviter les fraudes qui sont très difficilement traçables.

N’importe quel lecteur de carte à puce peut faire l’affaire, non?
J’ai un lecteur de carte qui lit très bien les infos de ma CB, ainsi que ma carte vitale d’ailleurs, ce qui est encore plus problématique…

C’est clair que c’est la base!

J’ai déjà lu des articles sur le sujet (qui est récurrent dans le domaine de la billettique: quoi coder, pourquoi, comment et à quel cout) mais oui, dès que j’ai un peu de termps, je vais augmenter ma culture!

bmustang

soit il a pas parlé assez fort ou le mot sécurité n’évoque rien chez microsoft

papy6

Encore et toujours des usines à gaz qui ne servent à rien, qui consomment toujours plus d’énergie